如何保守敏感信息的秘密

编辑本页

警告:您正在浏览的文档欧宝官网下载appob娱乐下载Symfony 5.3,现已不再维护。

本页的更新版本用于Syob娱乐下载mfony 6.2(当前稳定版本)。

环境变量是存储依赖于应用程序运行位置的配置的最佳方式——例如,一些API键可能在本地开发时设置为一个值,在生产时设置为另一个值。

当这些值为敏感的并且需要保密,您可以使用Symfony的秘密管理系统(有时称为“保险库”)安全地存储它们。ob娱乐下载

请注意

Secrets系统需要与PHP 7.2捆绑的钠PHP扩展。如果您使用的是较早的PHP版本,则可以安装libsodiumPHP扩展或使用paragonie / sodium_compat包中。

1
PHP bin/控制台秘密:生成密钥

这样就会产生一对不对称加密密钥.每一个环境有自己的一组键。假设您在dev环境,这将创造:

配置/机密/ dev / dev.encrypt.public.php
用于加密/向保险库添加秘密。可以安全地承诺。
配置/机密/ dev / dev.decrypt.private.php
用于解密/读取保险库中的秘密。的dev可以提交解密密钥(假设没有高度敏感的秘密存储在开发库中),但是刺激解密密钥应从来没有是承诺。

方法生成一对加密密钥刺激环境通过运行:

1
APP_RUNTIME_ENV=prod php bin/console secrets:generate-keys

这会生成配置/机密/刺激/ prod.encrypt.public.php而且配置/机密/刺激/ prod.decrypt.private.php

谨慎

prod.decrypt.private.php文件是高度敏感的。您的开发团队甚至持续集成服务都不需要这个密钥。如果解密密钥已经被曝光(例如前员工离职),您应该考虑通过运行:秘密:生成密钥——旋转

秘密:设置命令时,应将此秘密添加到dev而且刺激金库:

1 2 3 4 5 6 7
#由于安全原因,输入会被隐藏#设置默认开发值(可以在本地覆盖)PHP bin/控制台秘密:DATABASE_PASSWORD#设置你的生产价值APP_RUNTIME_ENV=prod php bin/控制台秘密DATABASE_PASSWORD

这将为密匙创建一个新文件配置/机密/ dev还有一个配置/机密/刺激.你也可以用其他方法设置秘密:

1 2 3 4 5 6 7 8
#提供一个读取秘密的文件PHP bin/控制台秘密:DATABASE_PASSWORD ~ / / password.json下载#或传递给STDIN的内容回声- nDB_PASS| PHP bin/控制台秘密:DATABASE_PASSWORD -#或让Symfonob娱乐下载y为您生成一个随机值PHP bin/控制台秘密:REMEMBER_ME——随机

请注意

没有重命名秘密的命令,因此您需要创建一个新的秘密并删除旧的秘密。

环境变量.小心不要不小心定义了秘密而且相同名称的环境变量:环境变量覆盖秘密

如果你存储了DATABASE_PASSWORDSecret,你可以通过以下方式引用它:

  • YAML
  • XML
  • PHP
1 2 3 4 5 6
#配置/包/ doctrine.yaml原则:dbal:密码:' % env (DATABASE_PASSWORD) %#……#……

实际值将在运行时解析:容器编译和缓存预热不需要解密密钥

秘密:列表.如果你有解密密钥参数也可以显示秘密的值——揭示选择:

1 2 3 4 5 6 7
php bin /控制台的秘密:列表显示  ------------------- ------------ ------------- 名义价值当地价值  ------------------- ------------ ------------- DATABASE_PASSWORD“我的秘密”------------------- ------------ -------------

1
php bin/console secrets:删除DATABASE_PASSWORD

dev环境机密应该包含用于开发的良好默认值。但是有时候开发者仍然开发时需要在本地覆盖秘密值。

大部分的秘密命令—包括秘密:设置-有一个——当地选项,该选项将“秘密”存储在.env。{env}。local文件作为标准环境变量。要覆盖DATABASE_PASSWORD秘密本地,运行:

1
PHP bin/控制台秘密:DATABASE_PASSWORD——当地的

如果你进入,你会在你的.env.dev.local文件:

1
DATABASE_PASSWORD =根

这将覆盖DATABASE_PASSWORD秘密,因为环境变量总是优先于秘密。

列出秘密现在也会显示局部变量:

1 2 3 4 5 6
php bin /控制台的秘密:列表显示  ------------------- ------------- ------------- 名义价值当地价值  ------------------- ------------- ------------- DATABASE_PASSWORD“开发价值”“根”------------------- ------------- -------------

ob娱乐下载Symfony还提供秘密:decrypt-to-local命令解密所有秘密并将它们存储在本地保险库和秘密:encrypt-from-local命令将所有本地机密加密到保险库。

dev而且刺激环境,它将从缺失测验环境。你可以创建一个“保险库”测验环境和定义那里的秘密。方法来设置测试值是一种更简单的方法.env.test文件:

1 2
# .env.testDATABASE_PASSWORD =“测试”

  • 上传文件:

    • 第一个选项是复制生产解密密钥-配置/机密/刺激/ prod.decrypt.private.php到您的服务器。

    1. 使用环境变量

    第二种方法是设置ob娱乐下载SYMFONY_DECRYPTION_SECRET类的base64编码值生产解密密钥.获取键值的一种奇特方法是:

    1 2 3
    #此命令只获取键的值;你还必须设置一个env变量#在您的系统中使用这个值(例如“出口SYMFOob娱乐下载NY_DECRYPTION_SECRET =…”)php - r'echo base64_encode(需要' config/secrets/prod/prod.decrypt.private.php ');'

    为了提高性能(即避免在运行时解密秘密),您可以在部署到“本地”保险库期间解密您的秘密:

    1
    APP_RUNTIME_ENV=prod php bin/console secrets:decrypt-to-local——force

    这将把所有解密的秘密写入.env.prod.local文件。完成此操作后,解密密钥将执行此操作需要保持在服务器上。

    秘密:生成密钥命令提供——旋转选项来重新生成加密密钥.ob娱乐下载Symfony会用旧密钥解密现有的秘密,生成新的加密密钥用新密钥重新加密机密。为了解密以前的秘密,开发人员必须拥有解密密钥

    • YAML
    • XML
    • PHP
    1 2 3 4 5 6
    #配置/包/ framework.yaml框架:秘密:# vault_directory: ' % kernel.project_dir % / config /机密/ % kernel.environment % '# local_dotenv_file: ' % kernel.project_dir % / .env. % kernel.environment %。local”# decryption_env_var:“base64:默认::SYMFOob娱乐下载NY_DECRYPTION_SECRET”

    此工作,包括代码示例,是根据创作共用BY-SA 3.0许可证。